パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ユニクロのTwitter連動キャンペーンサイトで脆弱性騒ぎ発生」記事へのコメント

  • by Anonymous Coward

    TwitterのIDを乗っ取られたくなければ、関係のないサイトでパスワードを入力しない。
    脆弱性だと騒ぎ立てるなら、どの情報が取得できることが問題なのか明示すること。

    • Re: (スコア:3, すばらしい洞察)

      by Anonymous Coward

      それはそうだが、そういう意味では関係のないサイトのくせにTwitterのIDとパスワードを
      要求するのは、かなり悪質なサイトであるとは言えると思う。

      • Re: (スコア:1, 興味深い)

        by Anonymous Coward

        「言えると思う」ではなくて、悪質です。
        悪質なサイトにパスワードを入力するべきではありません。

        • 今回の事案に関しては、悪質である・悪意がある・非常識であるといった批判は適切ではありません。
          # 技術屋としての良心があるならOAuthで開発すべきだった、などは適切。
          それは、UNIQLOという大型物件かつ炎上しやすい事案であるにもかかわらず、小炎上で留まっている事にも関連があります。

          今回の事案は、
          1. Twitterではないサービスに、TwitterのIDとパスワードを入力させているという(正しいがいまさらな)指摘
          2. IDとパスワードを入れるページが、httpsではないという(正しいがありがちな)指摘
          3. FlashからアクセスするDBに制限をかけていないスカタンな実装であるという指摘
          という独立な3つからなる複合炎上物件です。

          主に、3番の煙を1番,2番を絡めながら煽った結果で炎上という典型的な「正論で叩く+不安を煽る」事案です。
          典型的なのになぜ小炎上かというと、Twitterの歴史と文化圏にその理由があります。

          まず、Twitter連携サービスでは、TwitterのIDとパスワードを入力させることは珍しくないです。
          理由はTwitterAPIにあります。
          2007年4月にTwitterAPIが公開され、2009年3月にOAuthが利用可能になりました。
          つまり約2年の間Twitter APIはBASIC認証しか使えず、TwitterAPIを使う全てのサービスはTwitterのIDとパスワードを必要としました。(過去形)
          # Twitterの名誉のために付け加えると、2009年8月以降に開発するサービスはOAuth使ってねというアナウンスはあった。(但し義務ではない)

          そして、Twitter APIを使うサービスが粗製濫造されたという歴史があります。
          とうぜんSSLってなにそれ?というサービスも大量に存在し、TwitterのIDとパスワードを入力させていました。

          つまりTwitter文化圏にどっぷりな人間なほど、1番や2番は"良くあること"であって、別に気にするほどではないわけです。
          またOAuthの実装がややこしかったこともあり、ほとんど採用が進んでいなかったのも原因の一つでしょう。
          # 有名な連携サイトであるTwitpicがOAuthに対応したのは、2010年になってからだったハズ。

          以上のことより、「UNIQLO LUCKY LINE」にいち早く登録してしまう人たちは、既に免疫が出来上がっており1番2番を問題として認識できなくなっています。
          よって、対象者の殆どが炎上できないという珍しいという状況にありました。
          そして、Flashのデータにアクセスできてしまったという3番の問題に関しても、"ふぁぼったー"のようなある法則に基づいてツイートを集めるサービスが山のようにあるため、公開情報をリストにしたモノが漏洩してもさほど気にしない人が多かったわけです。

          つまりは、Twitterにどっぷりの当事者は問題として認識できず、煽られて「パスワードが漏れてるの!?」といって小炎上したに留まり、Twitterの歴史やTwitter APIは知らないが、Webサービスを構築する際の常識は知っている人が、時流にのって正論を打つという小類焼と言う現状に繋がります。

          まとめとしては「Twitter界隈では良くあるサービス」かつ「Flash作るときはちゃんとデバッグしようぜ」ということになります:-P
          # Twitter文化圏では良くある認証方法だし問題ないよねーではなく、ちゃんと技術者がまともに提案すべきだった、という話でもある。
          # なお、Twitter APIがBASIC認証のみでスタートしただとか、それでTwitter APIを使うサービスがTwitterのIDとパスワードを求めるだとかは、
          # 当時死ぬほど批判されつつもなあなあでみんな使い続けたという経緯があるダケに、とっても懐かしい感じです。

          親コメント
          • ちなみにUstreamのチャンネルページからTwitterにログインすると、COOKIEにパスワードが平文で保存されるんだけど、あれっていいのかな?
            親コメント
          • by Anonymous Coward

            つまり「昔からやってた」「みんなやってた」で完全に間違ってることでも正当化するという、ガラケーのかんたんログインなどとまったく同じ日本ではひたすらよくある構図ですね。
            ガラケーと違うのはTwitterはグローバルな企業なのでちゃんとBasic認証の廃止に踏み切ることですか。ガラケーの個体 固体識別番号は廃止どころか変更を難しくする始末 [takagi-hiromitsu.jp]ですからね。

            • by Anonymous Coward

              まぁまぁ、昔からある [takagi-hiromitsu.jp]ことだから気にしなくていいんじゃないかな?
              みんな、俺のサイトに携帯でアクセスすると良いと思うよ。

          • by Anonymous Coward

            文化圏ねぇ。まぁおれは使わないからどうでもいいけど、

            最近のOAuth SPAM事件を見るにつけリテラシー低い人たちには何を与えても無駄という気がする。

            • by Anonymous Coward on 2010年05月28日 9時38分 (#1770737)
              >リテラシー低い人たちには何を与えても無駄

              (姑息な商人目線からいうと、)そんな正論では商機は生まれません。

              リテラシーの低い人はターゲットとしては非常に魅力的です。
              宣伝効果は非常に高く、ちょっとしたブームでも桁違いの購買を生むのです。

              同等の機能性商品は他にいくらでも(しかもより低価格で)存在するのに、
              宣伝やイメージ戦略で一人勝ち状態を作れるのは、ひとえにその成果です。
              親コメント
              • by Anonymous Coward

                > 姑息な商人目線からいうと
                詐欺師目線と言いなさい。人を騙すような商売は長続きしませんとか何を言っても金儲けの欲に目がくらんだ人にはそれこそ無駄なんでしょうな。

              • by Anonymous Coward

                とりあえず少し脱線してるようなのでコメントつけます。

                パスワードを平分で送らなくてもいいようにOAuthというAPIができました。
                しかし、今度はだれ彼かまわず権限委譲してしまう人が蔓延しています。そしてSPAMが横行しています。
                つまり、OAuthの存在意義ってなによ?

                というのがリテラシー低い云々の源泉なわけです。なんで、リテラシーかといえば”文化圏”なるご大層なものが登場したからですね。私自身は世界のセキュリティを守る正義の味方ではないので、外野がどうこういっても仕方ないし”どうせそのうち飽きるでしょ”と静観してますです。

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

処理中...